Segurança da Informação

A segurança da informação envolve identificação, proteção, detecção, resposta e

recuperação. É preciso garantir os princípios da segurança da informação:
confidencialidade, integridade, disponibilidade.

Princípios:

 Confidencialidade: garantia que as informações seja reveladas só para os

usuários autorizados
 Integridade: garantia que a informação enviada esteja integra
 Disponibilidade: os dados devem estar disponível para os usuários permitidos
acessarem.
 Autenticidade: garantia que o originador das informações é mesmo você.
 Irretratabilidade: o e missões e o destinatário das informações não podem
negar a sua transmissão, recepção ou posse.

Controles:

 FÍSICOS: ex: controle de acesso

 TECNOLÓGICOS: ex: gerenciamento de contas e senhas
 Processos: EX: norma de atualização de senhas.

O que é criptografia?

Criptografia é ocultar o significado das mensagens, e não ocultar a mensagem em si.

Esta é a esteganografia. No caso da criptografia, em caso de a mensagem ser
interceptada, o conteúdo está protegido. Já no caso da esteganografia(disfarçar
dados), a mensagem está oculta.

Cifras: embaralhar os dados

Normas e frameworks:
 Família NBR ISO/IEC 27000.
 Cybersecurity Framework do NIST
 CIS Controls do CIS- centro de segurança da Internet
 LGPD - Lei geral de proteção de dados pessoais. Lei 13.709
CYbersecurity Framework do NIST
Organiza diferentes elementos da SI em três níveis. Além dos objetivos as priorização
orçamentos métricas e comunicação Ele tem cinco funções identificar proteger detectar
responder e recuperar
Cis controls
É um conjunto de ações que estabelece a defesa em camadas para mitigar os ataques
SGSI - sistema de gestão de segurança da informação.
É um conjunto de pessoas que avaliam a empresa e o que pode ser protegido e quais são
os pontos mais fracos que tem que ser protegido preserva com fidelidade integridade
disponibilidade da informação por meio da aplicação de um processo de Gestão de
Risco e fornece confiança para as partes interessadas de que os riscos são
adequadamente gerenciados
O SGSI deve ser integrado à empresa que possui necessidade de objetivos requisitos de
segurança processo organizacionais funcionários tamanho ou estrutura de organização

Marco Civil da Internet

A Lei N. 12.965, o Marco Civil da Internet (INTERNET, 2014) é a lei que regula o uso
da internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres
para quem usa a rede, bem como da determinação de diretrizes para a atuação do
Estado.
Política de SI
Guiam as ações de todos da empresa , o que pode é não pode fazer. Regras,
orientações…
A política de segurança é composta por um conjunto de documentos ou capítulos com
regras, papéis e responsabilidades que devem ser lidos, compreendidos e seguidos pelos
respectivos responsáveis.
Analise de segurança
SAST: static analysis security testing. - analise de teste de penetração, deve ser
aplicado no código-fonte, e é importante para remover as vulnerabilidades do código
antes do software entrar em produção.
DAST: também deve ser realizado antes do software entrar em produção, e o teste é
com o software funcionando, testando-se as interfaces existentes.
Mascaramento - mascara os dados, escondendo alguma parte dos dados tipo assim:
093.XXX.XXX-74
Truncamento - remove permanwntemente um segmentos dos dados no
amarzenamentos.
anonimozação e pseudonimização - a anonimização é a utilização de meios técnicos
razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo . Já a pseudonimização é
tratada pela lei como sendo o tratamento por meio do qual um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de
informação adicional mantida separadamente pelo controlador em ambiente controlado
e seguro (LGPD, 2020).

Transação Web em bancos 

As ameaças no banco, são o furto de identidade, a captura da senha, a captura da
senha de transação, a modificação da transação e a interrupção do acesso, que
podem afetar a autenticação ao serviço, a transação bancária e a autenticação da
transação. 

Elas podem ocorrer em qualquer um dos três ambientes (usuário, internet e provedor
de serviços) e , porém de uma forma diferente, o que leva à necessidade de controles de
segurança diferentes, que afetam também as responsabilidades.

Auditoria:

A auditoria de sistemas é assegurar que os controles internos sejam eficientes e efetivos.

 A segurança da informação e privacidade, que é feita a partir de uma visão de riscos
que direciona a definição e implantação de controles de segurança, é uma das áreas em
que a auditoria é parte essencial para garantir que a empresa esteja de fato protegida
contra as ameaças.

Objetivos: verificar e validar atividades, processos e sistemas das empresas de acordo

com o que está estabelecido, incluindo aspectos legais e regulatórios, visando também a
eficiência e eficácia

Pode detectar problemas em:

  Fraudes em e-mail;
  Uso inadequado de hardwares;
  Fraudes, erros e acidentes;
  Vazamento de informações;
  Falta de segurança física (acessos indevidos)


 A auditoria requer que o auditor busque evidências, avalie as forças e fraquezas de

controles internos com base nas evidências coletadas e prepare um relatório de auditoria
que apresenta as fraquezas e recomendações para a remediação nde uma forma objetiva
para apresentar aos atores envolvidos.